Зловмисне програмне забезпечення для мобільних пристроїв AppLite Banker
Фахівці з кібербезпеки виявили складну схему фішингу, спрямовану на розповсюдження оновленої версії банківського трояна Antidot. Діючи як кампанія мобільного фішингу (або мішингу), зловмисники маскуються під рекрутерів, які пропонують привабливі можливості працевлаштування.
Зміст
Пропозиції по приховуванню злих намірів
Представляючи себе частиною законного процесу вербування, зловмисники обманом змушують жертв завантажити шахрайську програму. Ця загрозлива програма служить крапельницею, доставляючи новий варіант Antidot Banker на пристрій жертви під виглядом законного програмного забезпечення.
Представляємо AppLite Banker: A Threat in Disguise
Оновлене шкідливе програмне забезпечення під кодовою назвою AppLite Banker дослідниками безпеки може похвалитися розширеними можливостями. Він може отримати облікові дані для розблокування пристрою, такі як PIN-коди, шаблони або паролі, і віддалено контролювати заражені пристрої. Ці функції повторюють тактику, яку можна побачити в подібних загрозах, як-от TrickMo.
Соціальна інженерія та схеми вакансій
Зловмисники використовують тактику соціальної інженерії, щоб заманити жертв обіцянками прибуткової роботи. Наприклад, фішингова кампанія у вересні 2024 року видавала себе за канадську компанію Teximus Technologies, яка стверджувала, що пропонує ролі дистанційного обслуговування клієнтів із привабливою погодинною оплатою праці та потенціалом кар’єрного зростання. Жертви, які взаємодіють із цими «вербувальниками», мають наказ завантажувати небезпечні програми з фішингових сайтів, ініціюючи процес встановлення зловмисного програмного забезпечення.
Підроблені програми та фішингові домени
Шкідливі програми, що маскуються під інструменти CRM для співробітників, поширюються через мережу оманливих доменів. Ці програми-дропери спритно уникають виявлення, маніпулюючи ZIP-файлами та обходячи засоби захисту. Жертвам пропонується зареєструвати обліковий запис і встановити підроблене оновлення додатка, нібито щоб «захистити свій телефон». Потім передбачуване оновлення доставляється через підроблений інтерфейс Google Play Store, завершуючи розгортання зловмисного програмного забезпечення.
Використання спеціальних можливостей для шкідливих дій
Як і в попередніх ітераціях, програма AppLite Banker зловживає дозволами Android Accessibility Services. Цей доступ дає змогу накладати екрани, самостійно надавати дозволи та виконувати інші шкідливі дії.
Ключові функції включають:
- Викрадення облікових даних облікового запису Google через накладання екрану.
- Зміна налаштувань пристрою, таких як яскравість екрана та програми за замовчуванням.
Розширений контроль над зараженими пристроями
Остання версія представляє функції, які підвищують рівень загрози, зокрема:
- Блокування дзвінків і приховування SMS-повідомлень за інструкціями віддаленого сервера.
- Обслуговування підроблених сторінок входу для 172 банків, криптовалютних гаманців і платформ соціальних мереж, таких як Facebook і Telegram.
- Увімкнення клавіатурного журналу, крадіжки SMS, переадресації викликів і віртуальної мережі (VNC) для віддаленого керування пристроями.
Глобальна цільова аудиторія
Схоже, що кампанія націлена на користувачів у різних регіонах, особливо тих, хто володіє такими мовами, як англійська, іспанська, російська, французька, німецька, італійська та португальська.
Проактивний захист є ключовим
Враховуючи складний характер і далекосяжний вплив цієї загрози, впровадження надійних заходів захисту є критично важливим. Користувачам слід бути обережними, отримуючи небажані пропозиції роботи або підказки встановити зовнішні програми. Залишаючись пильним і приділяючи пріоритет мобільній безпеці, ви можете запобігти потенційним втратам даних і фінансів.
